Kwaliteitsprofessionals en AVG

Voor een internationale financiële instelling heb ik het afgelopen jaar de AVG (Algemene Verordening Gegevensbescherming) impact analyse uitgevoerd en de oplossingsrichting gespecificeerd. AVG is overigens de Nederlandse interpretatie van het Europese GDPR (General Data Protection Regulation). Als Business Analist werkte ik voor de IT-organisatie; regelmatig werd mij de vraag gesteld: “Wat moeten we aan de IT-systemen doen om AVG-compliant te zijn?”

Impact

AVG-compliancy wordt alleen bereikt als de gehele organisatie eraan voldoet maar start bij de business / de lijn. De business processen en de bijbehorende gegevens moeten eerst in kaart gebracht worden. Data eigenaarschap moet aan de business toegekend worden en het gegevensverwerkingsregister, het middel om proces, doel en gegevens aan elkaar te koppelen, moet opgesteld worden. Dit vraagt inzicht in de gehele informatie- / gegevensketen. In het geval van een internationale organisatie moet er rekening gehouden worden met verschillende GDPR-interpretaties per land. Maak je gebruik van ketenpartners moet je ook weten wat zij met de gegevens doen. Hoe groter de organisatie, hoe complexer, hoe uitdagender.

Leerpunten

Voldoen aan de AVG zal voor elke organisatie een uniek traject zijn. Toch heb ik een aantal leerpunten verzameld die generiek zijn;

• De business heeft de lead, niet IT. Ondanks dat business en IT inmiddels niet meer los gezien kan worden ligt de verantwoordelijkheid bij de business.
• Ken je ketenpartners en maak afspraken met hen. Als data-eigenaar blijf je verantwoordelijk voor de gegevens, ook bij je ketenpartner. Zorg dat er goede afspraken zijn over gebruik, beveiliging en retentie.
• Blijf in control van je gegevens, het is een continu proces. Zorgen dat organisatie per 25 mei 2018 voldoet aan AVG moet geen momentopname zijn. Organisaties moeten periodiek bewijzen compliant te zijn. Plan (dus) een ritme in waarin je met regelmaat monitort.
• Voer de regie over de ketenpartners bij de uitvoering van de rechten van de (ex-) klanten en prospects. De data-eigenaar is verantwoordelijk voor de uitvoering van bijvoorbeeld het ‘recht vergeten te worden’. Ook bij ketenpartners!
• Stem de eisen van verschillende organisatie onderdelen op elkaar af. Definieer generieke oplossingen om aan lokale (landelijke) GDPR-regelgeving te voldoen. De nuance zit vaak in de retentieperiode en lokale wetgeving.
• Kijk ook verder dan de GDPR-eisen. Als organisatie moet je ook voldoen aan andere wet- en regelgevingen. Gegevens verwijderen kan strijdig zijn met bijvoorbeeld de belastingdienst of branche specifieke regelgeving.
• Indien er gebruik wordt gemaakt van (internationale) softwareleveranciers, betrek hen tijdig om te voorkomen dat ze een generieke oplossing creëren die niet voldoet aan de lokale regelgeving.

De bovenstaande leerpunten zijn niet komen aanwaaien. AVG is nieuw, kennis is schaars, de rol van Functionaris Gegevensbescherming (FG) is nieuw en concrete richtlijnen ontbreken (lees de wettekst er maar eens op na). Door samen te werken in de keten, kennis en leerpunten te delen en elkaar te helpen verbeteren zijn we tot concrete eisen voor Business en IT gekomen. Dat is een gezamenlijke inspanning geweest.

Terugkijkend kan ik stellen dat mijn rol meer aspecten had dan alleen business analyse. De keten afstemming is een regierol geweest waar het bijeenbrengen van de verschillende belangen de focus had. Want uiteindelijk moet iedereen in de keten voldoen.

AVG/GDPR heeft impact op de gehele organisatie, 25 mei 2018 gaat de regelgeving definitief in en komt er een einde aan de voorbereidingsperiode van twee jaar. Ik verwacht dat het nog jaren duurt voordat organisaties de AVG-regelgeving in de genen heeft zitten. Kwaliteitsprofessionals die in staat zijn om proces en (IT) middelen aan elkaar te koppelen, liefst met AVG kennis, zullen het voorlopig druk hebben.

Identify kan u helpen om AVG-compliancy binnen uw organisatie te borgen door;

• Procesverbetering / -optimalisatie;
• Business Analyse Privacy by Design;
• Herijking van de kwaliteitseisen IT systemen;
• Kwaliteitsregie in de keten.